Challenge-Handshake Authentication Protocol (tsz. Challenge-Handshake Authentication Protocols)
Szinte minden hálózati operációs rendszer támogatja a PPP-t CHAP-pal, ahogy a legtöbb hálózati hozzáférési kiszolgáló is . A CHAP-ot a PPPoE- ben is használják a DSL-felhasználók hitelesítésére.
Mivel a PPP titkosítatlanul és „tisztán” küld adatokat, a CHAP sebezhető minden támadóval szemben, aki képes megfigyelni a PPP munkamenetet. A támadó láthatja a felhasználó nevét, CHAP-kihívását, CHAP-válaszát és a PPP-munkamenethez kapcsolódó egyéb információkat. A támadó ezután offline szótári támadást hajthat végre , hogy megszerezze az eredeti jelszót. Ha PPP-ben használják, a CHAP védelmet nyújt a peer újrajátszási támadásai ellen is , a hitelesítő által generált kihívás használatával, amely általában egy hálózati hozzáférési kiszolgáló .
Ahol a CHAP-ot más protokollokban használják, akkor lehet küldeni tiszta formában, vagy védheti egy biztonsági réteg, például a Transport Layer Security (TLS). Ha például a CHAP-ot RADIUS- on keresztül küldik a User Datagram Protocol (UDP) használatával , akkor bármely támadó, aki látja a RADIUS-csomagokat, offline szótári támadást indíthat , akárcsak a PPP esetében.
A CHAP megköveteli, hogy mind a kliens, mind a szerver ismerje a jelszó egyértelmű szöveges verzióját, bár magát a jelszót soha nem küldik el a hálózaton keresztül. Így PPP-ben használva a CHAP jobb biztonságot nyújt, mint a Password Authentication Protocol (PAP), amely mindkét ok miatt sebezhető.